- Los avisos fiscales falsos se están convirtiendo en vehículos de distribución de software malicioso sofisticado de acceso remoto
- Los atacantes ocultan código malicioso detrás de marcas oficiales y referencias legales
- El malware establece silenciosamente comunicaciones cifradas con servidores fuera del país.
Una nueva campaña de phishing utiliza avisos falsos de evaluación del impuesto sobre la renta para enviar malware peligroso a víctimas desprevenidas en toda la India.
Los investigadores de CYFIRMA identificaron la operación, que se basó en un sitio web fraudulento que se parecía mucho a las comunicaciones oficiales del Departamento de Impuestos sobre la Renta de la India.
El portal falso, alojado en un dominio registrado recientemente, presenta una orden de evaluación creíble completa con referencias legales, sanciones monetarias y lenguaje de cumplimiento urgente diseñado para presionar a los destinatarios para que actúen rápidamente.
Cómo se manifiesta la infección
A las víctimas que contactan con el aviso falso se les pide que descarguen un archivo ZIP disfrazado de documentación de evaluación oficial y cálculos de respaldo.
Una vez extraído, ese archivo revela un archivo de imagen de disco que actúa como contenedor para la carga maliciosa real.
En su interior hay un programa de carga que activa silenciosamente un segundo componente, un archivo DLL similar a un servicio válido de Windows.
Los investigadores descubrieron que este cargador utiliza técnicas basadas en reflexión especialmente diseñadas para dificultar la detección y el análisis automáticos.
Ambos archivos fueron ofuscados utilizando una herramienta de seguridad conocida, lo que complicó aún más los esfuerzos de los equipos de seguridad para inspeccionar el código.
Una vez activada, la carga útil se comporta como un troyano de acceso remoto, proporcionando a los atacantes acceso cifrado persistente a las máquinas infectadas.
Puede recopilar detalles del sistema, monitorear la actividad del usuario, verificar qué software de seguridad está instalado y cargar silenciosamente componentes maliciosos adicionales cuando se le ordena.
La comunicación con el servidor del atacante se realiza a través de un canal cifrado, utilizando una dirección codificada identificada en la infraestructura con sede en Hong Kong.
Estas capacidades apuntan a una operación con motivación financiera que no se centra en daños o interrupciones inmediatas, y se parecen mucho a las características asociadas con familias de productos RAT familiares como XWorm.
Sin embargo, los investigadores señalan que la caracterización final de un actor de amenaza específico sigue siendo incierta en esta etapa.
Por qué esta campaña es importante
Este no es un intento de phishing aislado, sino parte de un patrón más amplio de atacantes que aprovechan la ansiedad de la temporada de impuestos para eludir por completo las advertencias de los usuarios.
Los hallazgos de CYFIRMA muestran que la misma arquitectura de cargador y carga útil se ha asociado anteriormente con operadores de ransomware, lo que sugiere que esta infraestructura puede servir para múltiples tipos de ataques, dependiendo de la víctima.
El software antivirus actualizado con detección de comportamiento sigue siendo una defensa práctica contra este tipo de entrega de malware multicomponente por etapas.
Los investigadores de seguridad recomiendan que las personas verifiquen cualquier correspondencia relacionada con impuestos directamente a través de canales oficiales del gobierno en lugar de hacer clic en enlaces integrados.
Se recomienda a las organizaciones que limiten la ejecución de archivos desconocidos entrantes a través de archivos o imágenes de disco, ya que esta campaña depende en gran medida de ese método de distribución adecuado para tener éxito.
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
